ハッカー集団ダークサイド、新たな手法で攻撃再開

In this May 12, 2021, file photo, the entrance of Colonial Pipeline Company in Charlotte, N.C. U.S. pipeline operators will be required for the first time to conduct a cybersecurity assessment under a Biden administration directive to be issued Thursday in response to the ransomware hack that disrupted gas supplies in several states this month. (AP Photo/Chris Carlson, File)

By Ryan Lovelace – The Washington Times – Wednesday, June 16, 2021

　サイバーセキュリティー企業ファイアアイによると、米国の大手燃料パイプライン会社コロニアル・パイプラインを攻撃したハッカーグループに関連するサイバー犯罪が、戦術を変えて、再び起きている。

　コロニアル・パイプラインへのランサムウエア（身代金要求型ウイルス）攻撃の黒幕ダークサイドは先月、活動を停止したが、ファイアアイは１６日、その後、ダークサイド系組織が監視カメラのソフトウエアユーザーを攻撃していたことを発見したと発表した。

　この日、バイデン米大統領がロシアのプーチン大統領と会談し、ロシアの政府とハッカー集団が関与したハッキング、ランサムウエア攻撃について話し合った。バイデン氏は、ダークサイドをロシアと関連付けたが、ロシア政府とは無関係としていた。１６日、プーチン氏に、ロシアは「交通規則」を守り、重要インフラへの攻撃は控えるべきだと訴えた。

　プーチン氏は会談後の会見で、サイバー攻撃の責任は米国にあると主張した。

　「米国からの情報によると、世界のほとんどのサイバー攻撃は、米国のサイバー領域から実行されている。２番目はカナダ、次いで南米の２カ国、英国、ロシアは、ほとんどのサイバー攻撃の発信元の中に入っていない」

　プーチン氏は、この情報源を明らかにしなかった。米当局者、サイバーセキュリティー専門家によると、大きな被害をもたらした近年のハッキング、サイバー攻撃の大部分は、ロシアからのものだ。米政府は、ソーラーウィンズ社のソフトを悪用し、九つの連邦機関に侵入したハッキングは、ロシアの対外情報庁（ＳＶＲ）が、コロニアル・パイプラインと食肉大手ＪＢＳへのランサムウエア攻撃は、ロシアのサイバー犯罪組織が関与したとしている。

　ファイアアイが１６日に明らかにしたところによると、同社のマンディアント部門は、ダークサイド系の「ＵＮＣ２４６５」が、新たなサイバー攻撃を試みたことを発見した。ダークサイドは先月、活動を停止したとみられている。

　ダークサイドは、ＲａａＳ（ランサムウエア・アズ・ア・サービス）というモデルを取り入れていた。悪意のあるソフトウエアの開発者とそれを配布する関連組織が、標的がデータを取り戻すために支払った身代金を分け合うという仕組みだ。

　ファイアアイは、ダークサイド系組織がランサムウエアを配布した証拠はつかんでいないが、標的が使用しているソフトウエアを運用する企業への侵入など、ソフトウエア・サプライ・チェーン攻撃を行ったことは把握している。

　ファイアアイによると、ダークサイド系組織は、監視カメラ供給業者のサイトの二つのソフトウエア製品を悪用し、怪しまれることのないユーザーとして標的へのアクセスを獲得していた。

　ファイアアイの脅威調査員らは同社のブログで「ＵＮＣ２４６５が、サイト訪問者への攻撃やフィッシングメールから、このようなソフトウエア・サプライ・チェーン攻撃へと移行したことは、懸念すべきであり、これによって発見が困難になる」と指摘している。